W poprzednim odcinku.
Witam w drugiej części bliskich spotkań ze złośliwymi plikami PDF. W poprzednim odcinku przedstawione zostały informacje na temat budowy i potencjalnego zagrożenia jakim stają się pliki PDF. Szerokie możliwości jakie oferuje format zwróciły uwagę grup, które wykorzystując jego popularność rozpowszechniają wirusy, trojany i innego rodzaju złośliwe oprogramowanie. W poniższym artykule postaram się pokazać sposoby obrony przed atakami z wykorzystaniem plików PDF. Osoby bardziej zainteresowane znajdą opis w jaki sposób sprawdzić czy dany plik jest złośliwy i ewentualnie wyłuskać kod odpowiedzialny za zarażenie komputera.
Jak się (nie) zarazić.
Najwięcej złośliwych plików PDF udało się znaleźć na skompromitowanych serwisach WWW. Były one wykorzystywane jako jedna z metod infekowania komputerów poprzez przeglądarki WWW. Odkąd razem z Adobe Acrobat Reader’em instalowane są rozszerzenia do przeglądarek ta forma rozprzestrzeniania się zagrożeń związanych z plikami PDF jest najczęściej wykorzystywana. Typowym sposobem jest otwieranie pliku PDF w tzw. ramce pływającej (IFRAME), która jest niewidoczna dla użytkownika. W tle uruchamiana jest wtyczka, która otwiera przesłany plik i tym samym powoduje infekcję maszyny. Bardzo rzadko ale także zdarzają się złośliwe pliki PDF przesyłane w postaci załączników w SPAM’ie. W takim przypadku wymagana jest interakcja z użytkownikiem i zachęcenie go do otwarcia takiego pliku.
Ochroną przed zarażeniem się poprzez pliki PDF jest przede wszystkim zdrowy rozsądek. Nie należy otwierać plików pochodzących z nieznanych źródeł. Dobrą praktyką jest także wyłączenie obsługi plików PDF w przeglądarce. Dodatkowo możemy wyłączyć obsługę JavaScript’u w programie Adobe Acrobat Reader, lecz nie jest to rozwiązanie do końca skuteczne. Ale o tym za chwilę.
(więcej…)
Wszędobylski PDF.
Każdy z nas spotkał się z plikami PDF. Są one jednym z najpopularniejszych formatów służącym do przenoszenia i udostępniania informacji. Gdy w 1993 Adobe Systems opracowało jego pierwszą wersję najprawdopodobniej nie podejrzewało, że wzbudzi on tak duże zainteresowanie. Obecnie obsługa plików PDF jest możliwa w każdym systemie operacyjnym oraz w większości urządzeń przenośnych z uwzględnieniem najnowszych telefonów komórkowych. Powszechność formatu szybko wzbudziła zainteresowanie środowisk, które specjalizują się w poszukiwaniach podatności w programach oraz potencjalnych metod ich wykorzystania. Nie trzeba było długo czekać, aby w sieci pojawiły się pierwsze złośliwe pliki PDF wykorzystujące luki w najpopularniejszym programie do odczytu – Adobe Acrobat Readerze. Znaczny wzrost ilości krążących w sieci złośliwych PDF’ów nastąpił w drugiej połowie 2008 roku. Miało to najprawdopodobniej związek z uwolnieniem standardu przez Adobe Systems w lipcu 2008 i publikacją pełnego dokumentu opisującego strukturę i funkcjonalność formatu.
Udział procentowy aktywnych w sieci typów exploitów
związanych z plikami PDF
(w odniesieniu do maksimum aktywności w październiku 2008)
Źródło: Microsoft Security Intelligence Report volume 6 (July through December 2008)
CVE-2007-5659 – exploit związany z podatnością funkcji JavaScript CollabEmailInfo
CVE-2008-2992 – exploit związany z podatnością funkcji util.printf
Jeszcze do niedawna odwiedzający stronę Serious Magic (seriousmagic.com) należącą do firmy Adobe Systems mogli zostać zainfekowani złośliwym oprogramowaniem. Wszystkiemu winni byli “właściciele” botnetu o nazwie Asprox, któremu metodą SQL injection udało się wstrzyknąć w kod strony odnośniki do złośliwych skryptów JavaScript. Specjaliści z firmy antywirusowej Sophos poinformowali o tym fakcie Adobe w zeszły piątek, 10 października. Sophos oficjalną informację opublikował dopiero dzisiaj (dzień wcześniej incydent został opisany na oficjalnym blogu).
Według strony diagnostycznej Google SafeBrowsing dla “seriousmagic.com/help/tuts” zagrożenie już zostało zażegnane. Wcześniej witryna ta miała rozpowszechniać 146 złośliwych skryptów, 17 exploitów i 3 trojany.
Asprox znany jest właśnie z masowych ataków SQL injection na wiele stron internetowych. Udało mu się zainfekować m.in. strony Redmond Magazine czy Sony PlayStation.
Przed złośliwymi skryptami JavaScript internautów chroni m.in. dodatek NoScript dedykowany przeglądarce Firefox.
Od kilku dni w Internecie obserwowana jest masowa infekcja stron WWW, w wyniku których odwiedzający je narażeni są na zarażenie złośliwym oprogramowaniem. Do tego celu używana jest animacja flash wykorzystująca nieznaną dotąd lukę w produktach z serii Adobe Flash Player.
Infekcja stron WWW odbywa się metodą SQL Injection, dzięki której cyberprzestępcy umieszczają na atakowanej stronie fragment kodu JavaScript lub HTML (w tym przypadku wykorzystują znacznik iframe). Wstrzyknięty kod kieruje przeglądarkę nieświadomego użytkownika na kolejne strony (takich skoków może być więcej niż jeden), na których umieszczona jest animacja flash (plik o rozszerzeniu swf). Zawarty w animacji złośliwy kod wykorzystuje nieznaną dotychczas podatność w popularnym odtwarzaczu Adobe Flash Player. Luki te występują zarówno w najnowszej wersji aplikacji (9.0.124.0) jak i we wcześniejszych i pozwalają na zdalne wykonanie dowolnego kodu przez atakującego. Najczęściej dzięki temu na komputer ofiary ściągany jest plik wykonywalny typu malware.
Ze względów bezpieczeństwa nie podano do publicznej wiadomości na czym polega podatność, natomiast sprawa jest cały czas badana. Zalecamy zatem – do czasu wydania poprawki lub nowszej wersji aplikacji Flash Player – wyłączenie w przeglądarce internetowej możliwości odtwarzania animacji flash, lub stosowania dodatków, które zablokują ich wykonywanie (np. NoScript lub FlashBlock dla przeglądarki Firefox). Ponadto niektóre aplikacje typu firewall i systemy antywirusowe mogą rozpoznawać i blokować złośliwe pliki.
Więcej info:
www.kb.cert.org
www.securityfocus.com
isc.sans.org
W aplikacji Adobe Flash Player odkryto groźne luki. Podatne są wersje oprogramowania 9.0.115.0 i wcześniejsze, oraz 8.0.39.0 i wcześniejsze.
Aplikacja ta jest najczęściej stosowaną do odtwarzania animacji flash, przez co potencjalnymi ofiarami może być większość użytkowników Internetu. Dodatkowo podatności te występują w wersjach oprogramowania na wszystkie przeglądarki i platformy systemowe, choć oczywiście sposób wykorzystania tych luk musiałby być w większości przypadków inny w różnych systemach operacyjnych.
Dwie luki dotyczą błędu przetwarzania danych wchodzących, przez co możliwe jest przepełnienie bufora (atak buffer overflow) i w konsekwencji zawieszenie procesu lub wykonanie w systemie ofiary dowolnego kodu.
Kolejne podatności mogą pozwolić na przeprowadzenie ataku typu DNS rebinding, który – w skrócie – umożliwia przekierowanie przeglądarki ofiary do innej strony WWW.
Następna dziura dotyczy serwera, na którym umiejscowiona jest animacja flash. Znajduje się w mechanizmie interpretera plików cross-domain policy (zawierających reguły określające możliwości ładowania danych z innych źródeł) i pozwala na eskalację uprawnień systemowych.
Inny błąd może być wykorzystany przy wysyłaniu nagłówków HTTP do pominięcia reguł zawartych w plikach cross-domain policy.
Ostatni zestaw luk pozwala na ataki XSS (Cross-Site Scripting), w tym, oprócz wykonania złośliwego skryptu JavaScript, także kradzież z plików cookie informacji uwierzytelniających.
Aby wykorzystać podatności przeciwko zwykłemu użytkownikowi domowemu, atakujący musi namówić go do uruchomienia w podatnej aplikacji specjalnie spreparowanej animacji flash (plik o rozszerzeniu swf), co może być dosyć proste – wystarczy taką animację umieścić na stronie WWW. Jej adres może być następnie dystrybuowany poprzez różne kanały, np. wiadomości e-mail, komunikatory internetowe, fora dyskusyjne, serwisy społecznościowe i WEB 2.0, a także poprzez wyszukiwarki internetowe (dzięki wysokiemu wypozycjonowaniu lub usługom typu „linki sponsorowane”).
Dostępna już jest nowsza wersja Adobe Flash Playera, w której poprawiono powyższe błędy. Można ją ściągnąć bezpośrednio ze strony producenta. Adobe udostępnił także instrukcje pokazujące krok po kroku proces instalacji dla różnych systemów operacyjnych i przeglądarek: link
Źródła:
www.adobe.com,
secunia.com
W Internecie krążą złośliwe pliki PDF wykorzystujące lukę w aplikacjach Adobe Reader i Acrobat w wersjach 8.1.1 i wcześniejszych. Dzieje się tak pomimo załatania przez producenta podatności i wypuszczenia nowych wersji swoich programów (8.1.2).
Luka znajduje się we fragmencie odpowiedzialnym za obsługę kodu JavaScript. Pozwala ona na przepełnienie bufora, co może doprowadzić do wykonania dowolnego kodu w systemie.
Po otwarciu spreparowanego pliku PDF ściągany jest malware będący koniem trojańskim zwanym Zonebac. Trojan ten wyłącza programy anty wirusowe, a także modyfikuje wyniki wyszukiwań stron internetowych oraz wyświetla w przeglądarkach internetowych paski reklamowe. Zainfekowane PDF’y są umieszczane na stronach WWW lub wysyłane jako załącznik listu email. Użytkownik infekuje się w chwili otwarcia pliku w podatnym oprogramowaniu (także, gdy otwarcie następowało przy pomocy wtyczki w przeglądarce internetowej).
Jak donoszą zaangażowani w sprawę specjaliści z iDefense Labs luka ta był odkryta przez nich i zgłoszona firmie Adobe już w październiku zeszłego roku. Ponadto w chwili obecnej programy antywirusowe nie wykrywają złośliwych PDF’ów.
Pomimo wydania przez producenta poprawionej wersji aplikacji liczba infekcji ciągle rośnie. Dlatego zalecamy jak najszybciej dokonać aktualizacji (pliki dostępne na stronie firmy Adobe), lub wyłączyć możliwości przetwarzania skryptów JS (w Adobe Reader: Edit -> Preferences -> JavaScript: odhaczyć checkbox “Enable Acrobat JavaScript”).
Źródło:
labs.idefense.com
isc.sans.org
